Wicepremier i minister cyfryzacji Krzysztof Gawkowski podczas spotkania z dziennikarzami przekazał, że wierzy, iż projekt nowelizacji ustawy o systemie cyberbezpieczeństwa trafi pod obrady rządu na przełomie lipca i sierpnia. Obecnie nad projektem pracuje Stały Komitet Rady Ministrów.

Projekt przewiduje m.in. procedurę uznania dostawcy sprzętu lub oprogramowania jako tzw. dostawcę wysokiego ryzyka, co może skutkować koniecznością wymiany sprzętu przez operatorów, którzy korzystaliby z oznaczonych w ten sposób produktów. Gawkowski, pytany czy resort rozważa odszkodowania za wymianę sprzętu przekazał, że jest przeciwnikiem, żeby ten pomysł „gdziekolwiek się ożywił”.

Wicepremier wyjaśnił, że nie wiadomo, kto znajdzie się na liście dostawców wysokiego ryzyka, ponieważ taka lista jeszcze nie powstała. Z kolei czas na wycofanie sprzętu to od 4 do 7 lat od momentu decyzji, która zapadnie po złożonym postępowaniu. Tak więc cały proces mógłby zająć nawet 9-10 lat – przekazał Gawkowski i dodał, że operatorzy usług kluczowych i tak wymieniają sprzęt co ok. 6-7 lat, bo wymagają tego m.in. parametry techniczne.

- Czyli ktoś dziś zakłada, że może za 10 lat musiałby wycofać sprzęt zagrażający bezpieczeństwu państwa i dobrze by było, żeby państwo jeszcze za ten sprzęt zapłaciło, mimo że on (operator - PAP) i tak ten sprzęt wymieni. To się nie wydarzy – zadeklarował wicepremier.

- Ja jestem tutaj, by dbać o bezpieczeństwo państwa, a nie od tego, żeby pompować bogatym ludziom pieniądze do kieszeni i mówić »niech zarabiają jeszcze więcej« – podkreślił.

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) ma wdrażać do polskiego porządku prawnego unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Celem jest dostosowanie przepisów do zmieniającego się krajobrazu cyberzagrożeń oraz zwiększenie odporności systemów informatycznych w kluczowych sektorach gospodarki.

Projektowane przepisy wymagają od podmiotów wdrożenia rygorystycznych środków zarządzania ryzykiem oraz zgłaszania incydentów bezpieczeństwa. Projekt przewiduje także procedurę uznania dostawcy sprzętu lub oprogramowania jako tzw. dostawcę wysokiego ryzyka. Decyzja taka będzie podejmowana według kryteriów technicznych i nietechnicznych. Jeśli jakieś oprogramowanie lub sprzęt zostanie wpisany na listę dostawców wysokiego ryzyka, dla operatorów usług kluczowych decyzja wejdzie w życie za 7 lat, a dla operatorów telekomunikacyjnych - za 4 lata.

Jak podawała „Rzeczpospolita” w październiku ubiegłego roku, operatorzy sieci telekomunikacyjnych obawiają się, że wymianie mógłby podlegać sprzęt obsługujący sieci 5G, 4G i 3G w przypadku stwierdzenia, że jego producent zostałby uznany za dostawcę wysokiego ryzyka. Według „Rz” specjaliści spodziewają się, że za takiego dostawcę zostanie uznany chiński Huawei. Ministerstwo Cyfryzacji zapewniało z kolei kilkukrotnie, że państwo pochodzenia sprzętu nie będzie czynnikiem decydującym o uznaniu dostawcy za stwarzającego wysokie ryzyko. Resort wskazywał też, że nie zapadnie ona na podstawie opinii jednego polityka czy urzędnika, a na podstawie rekomendacji i analiz m.in. z innych państw UE, CSIRT-ów krajowych i służb specjalnych, w tym Agencji Bezpieczeństwa Wewnętrznego. Zapewniano ponadto, że procedura wycofania sprzętu lub oprogramowania zagrażającego bezpieczeństwu państwa i obywateli będzie miała zastosowanie jedynie w nadzwyczajnych przypadkach.

Nowelizację UKSC próbował przeprowadzić już rząd Mateusza Morawieckiego. W tym roku MC wskazywało, że przyjęcie noweli przez Radę Ministrów będzie miało miejsce do końca marca. W lutym dokument trafił do Komitetu ds. Europejskich, a w czerwcu do Stałego Komitetu Rady Ministrów, gdzie znajduje się do tej pory.

- Od kilku lat w Polsce mamy do czynienia z wyjątkowo dynamicznym działaniami lobbingowymi w sektorze cyberbezpieczeństwa, które obserwowałem, gdy zasiadałem w Radzie ds. cyfryzacji. Moim zdaniem jest to jedna z głównych przyczyn tego, że od wielu lat nowelizacja ustawy o KSC jest tylko projektem - mówił w marcu w rozmowie z PAP Mirosław Maj.

Jak wskazał we wtorek „Dziennik Gazeta Prawna”, uchwalenie noweli może wydłużyć się o kolejne miesiące. „DGP” dotarł do e-maila, z którego wynika, że Komisja Europejska upomniała Polskę o konieczności notyfikacji projektu nowelizacji UKSC. Notyfikacja standardowo oznacza konieczność zawieszenia projektu co najmniej na trzy miesiące, a maksymalnie na 18 miesięcy. Chodzi konkretnie o przepisy ws. dostawców wysokiego ryzyka. Zdaniem prof. dr hab. Macieja Rogalskiego, rektora Uczelni Łazarskiego i partnera w kancelarii Rogalski i Wspólnicy, cytowanego przez dziennik – przepisy te mają charakter techniczny i powinny zostać zgłoszone zgodnie z unijnymi procedurami. Ministerstwo Cyfryzacji przekazał „DGP”, że nie widzi takiej potrzeby. KE zaznaczyła z kolei, że brak zgłoszenia, jeśli okaże się ono konieczne, może oznaczać „istotną wadę proceduralną”. Przyjęcie przepisów w tym scenariuszu, może skutkować podważeniem przepisów przez sądy – wskazał „DGP”.

Obecna wersja ustawy o KSC pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r.

Monika Blandyna Lewkowicz (PAP)

mbl/ mick/